Le logiciel malveillant ICS Fuxnet utilisé par l'Ukraine pour perturber l'infrastructure russe

Des rapports récents indiquent que des pirates informatiques ukrainiens, prétendument associés à un groupe connu sous le nom de Blackjack et prétendument liés aux services de sécurité ukrainiens, ont exécuté des cyberattaques ciblant les infrastructures russes critiques. Un incident notable a impliqué une attaque contre Moscollector, une société basée à Moscou qui supervise des systèmes souterrains vitaux tels que les réseaux d'eau et de communication. Les attaquants, affirmant avoir utilisé une forme sophistiquée de logiciel malveillant appelé Fuxnet , ont affirmé avoir réussi à neutraliser l'infrastructure de détection et de surveillance industrielle russe, impactant ainsi des services allant des alarmes de gaz aux alarmes incendie.

Cependant, un examen approfondi réalisé par la société de cybersécurité Claroty suggère une image plus nuancée. Alors que le Blackjack se vantait d'avoir paralysé 87 000 capteurs et provoqué un chaos généralisé, l'analyse de Claroty révèle une approche plus ciblée. Fuxnet, décrit comme « Stuxnet sous stéroïdes », semble s'être concentré sur environ 500 passerelles de capteurs plutôt que d'endommager directement les capteurs eux-mêmes. Ces passerelles servent d'intermédiaires entre les capteurs et le réseau plus large, permettant la transmission de données au système de surveillance central de Moscollector.

Les découvertes de Claroty mettent en lumière les mécanismes complexes de l’attaque. Fuxnet, déployé à distance, lance une série d'actions destructrices lors de l'infiltration. Il efface systématiquement les fichiers cruciaux, désactive les services d’accès à distance et perturbe les voies de communication. De plus, le malware tente de détruire physiquement les puces mémoire et d’inonder les canaux série de données aléatoires, dans le but de submerger à la fois les passerelles et les capteurs connectés.

Malgré les affirmations du Blackjack faisant état d'une dévastation généralisée, il semble que leur impact ait été plus localisé. En ciblant principalement les passerelles de capteurs et en inondant les canaux série, les attaquants ont cherché à créer une perturbation plutôt qu'une destruction pure et simple. Par conséquent, même si les réparations peuvent s'avérer difficiles en raison de la répartition géographique des appareils concernés, l'intégrité des capteurs eux-mêmes reste largement intacte.

Cet incident met en évidence l’évolution du paysage de la cyberguerre, dans lequel des logiciels malveillants sophistiqués peuvent provoquer des perturbations importantes sans nécessairement infliger des dommages irréversibles. Alors que les pays sont aux prises avec la menace croissante de cyberattaques contre les infrastructures critiques, la nécessité de mesures de cybersécurité robustes et d’une coopération internationale devient de plus en plus impérative.